Cyberattaque majeure : Microsoft révèle que des criminels russes ont volé encore plus d'e-mails que ce qui avait été initialement admis

Suscitant des inquiétudes quant à la sécurité nationale des États-Unis

Microsoft, l’un des géants de la technologie, a récemment fait face à une situation alarmante : des criminels russes ont compromis ses systèmes et volé encore plus d’e-mails que ce qui avait été initialement admis. Cette attaque numérique a eu des répercussions importantes, suscitant des inquiétudes quant à la sécurité nationale des États-Unis et mettant en lumière l’importance de la protection des données.

Microsoft a récemment révélé que les criminels russes qui ont compromis ses systèmes plus tôt cette année ont volé encore plus d’e-mails que ce qui avait été initialement admis. L’attaque numérique orchestrée par des espions du Kremlin a permis aux pirates d’accéder au code source, aux e-mails des cadres et à des données sensibles du gouvernement américain. Cette situation a suscité des inquiétudes quant à la sécurité nationale des États-Unis, et le président de Microsoft, Brad Smith, a dû s’expliquer devant le Congrès.

Une attaque par pulvérisation de mots de passe

L'attaque a commencé à la fin du mois de novembre 2023. Malgré la longue période de présence des attaquants dans le système, Microsoft a d'abord insisté sur le fait que seul un « très faible pourcentage » de comptes d'entreprise avait été compromis. Cependant, les attaquants ont réussi à voler des courriels et des documents joints au cours de l'incident.

La violation a été facilitée par une technique de pulvérisation de mot de passe, que les pirates ont utilisée pour accéder à un « ancien compte de locataire de test non productif » avec un code obsolète. Les pirates ont utilisé les autorisations de ce compte pour infiltrer des comptes appartenant à des dirigeants de Microsoft et à d'autres employés ciblés.

La pulvérisation de mots de passe est un type d'attaque par force brute au cours de laquelle un acteur malveillant tente d'utiliser le même mot de passe sur plusieurs comptes avant d'en essayer un autre. Les attaques par pulvérisation de mots de passe sont souvent efficaces, car de nombreux utilisateurs utilisent des mots de passe simples et faciles à deviner, comme « motdepasse » ou encore « 123456 ».

Dans de nombreuses organisations, les utilisateurs sont bloqués après un certain nombre de tentatives de connexion infructueuses. Comme les attaques par pulvérisation de mots de passe consistent à essayer un seul mot de passe sur plusieurs comptes, elles évitent les blocages de compte qui se produisent généralement lors d'une attaque par force brute d'un seul compte avec plusieurs mots de passe.

La pulvérisation de mots de passe se distingue par le fait qu'elle peut cibler des milliers, voire des millions d'utilisateurs différents en même temps, plutôt qu'un seul compte. Le processus est souvent automatisé et peut s'étaler dans le temps pour échapper à la détection.

Les attaques par pulvérisation de mots de passe ont souvent lieu lorsque l'application ou l'administrateur d'une organisation particulière définit un mot de passe par défaut pour les nouveaux utilisateurs. L'authentification unique et les plateformes basées sur le cloud peuvent également s'avérer particulièrement vulnérables.

Si la pulvérisation de mots de passe peut sembler simpliste par rapport à d'autres types de cyberattaques, même des groupes cybercriminels avertis y ont recours. Par exemple, en 2022, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié une alerte sur les cyberacteurs parrainés par des États, énumérant les différentes tactiques qu'ils utilisent pour accéder à des réseaux ciblés – et la pulvérisation de mots de passe en faisait partie.


Microsoft a attribué l'attaque au groupe de pirates Midnight Blizzard

Fin janvier, Microsoft a reconnu une nouvelle violation de données, déclarant dans un rapport que des pirates informatiques affiliés à l'État russe se sont introduits dans son système de messagerie électronique interne et ont accédé aux comptes des membres de l'équipe dirigeante, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques. Microsoft a ajouté que l'intrusion a commencé fin novembre et a été découverte le 12 janvier.

Microsoft a attribué l'attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l'entreprise, il s'agit d'un groupe de pirates hautement qualifiés parrainés par l'État russe et qui sont à l'origine de l'intrusion dans les systèmes de SolarWinds il y a quelques années. La violation aurait permis aux pirates d'exfiltrer des identifiants de connexion qu'ils utiliseraient désormais afin de farfouiller dans les systèmes de Microsoft. L'entreprise a publié en mars un autre rapport qui révèle que le groupe a également volé du code source et qu'il était peut-être encore en train de fouiller dans ses systèmes informatiques...